SGI서울보증, 랜섬웨어 사태로 외양간 고치나...전산직 채용

지난 7월 랜섬웨어 감염으로 시스템이 마비된 SGI서울보증보험이 전산분야 채용에 나섰다.

SGI서울보증은 채용인원 70명을 모집하는 가운데, 전산 예정인원은 10명을 뽑는다고 밝혔다. 전공평가는 소프트웨어 공학, 데이터베이스, 컴퓨터구조, 데이터통신, 정보보호, 운영체제, 자료구조 등 전공평가를 거친다.

앞서 SGI서울보증은 랜섬웨어 공격을 받아 랜섬웨어에 감염된 바 있다. 랜섬웨어 감염 사태 원인으론 허술한 백업조치와 VPN 취약점 때문이란 지적이 나왔다.

보안업계에선 백업 관리 부실과 허술한 비밀번호 관리 등 보안부실을 주요 원인으로 꼽았다. 자칫 금융시스템 전반을 뒤흔들 뻔한 중대한 사고였다는 평가다.

금융당국과 보안 당국의 조사 결과에 따르면, 당시 SGI서울보증은 핵심 전산 백업을 지키지 못했다. 랜섬웨어는 약 한 달간 내부에 잠복, VPN 장비 취약점을 노렸다. DR(재해복구)센터와 일·월별 백업을 차례로 암호화했다. 특히 최종 백업까지 삭제한 것으로 드러났다.

분리 보관해야 할 백업을 SGI보증보험이 전산망에 연결해 놨기 때문이다. 이로 인해 전체 백업 중 20%만이 남았다. 사흘 만에 사이트 복구도 금융보안원에서 암호화를 해제했기에 가능했던 것이다.

VPN 관리도 허술했다. SGI는 장비 제조사가 기본 설정해 둔 비밀번호를 장기간 변경하지 않고 그대로 사용했다. 해커는 이를 입력해 내부로 침투했다. 관리자 계정도 단순한 문자 조합을 사용해 뚫렸다.

방화벽을 통한 IP 관리 등 기본적인 보안 체계조차 마련돼 있지 않았으며, 계정 하나로 수십 개의 서버를 동시에 관리하는 구조 탓에 계정 1곳이 해킹되자 32개 서버가 한꺼번에 무력화됐다.

전임 관제 직원도 4명에 불과했다. 평일 주간만 상주하고, 야간과 주말에는 외주로 원격관리했다. 공격 발생은 외주 인력이 근무하던 토요일에 발생, SGI서울보증보험 보안인력은 해킹 발생 하루 이후인 일요일 오후에서야 인지했다.

금융당국은 후속 조치에 착수한 상태다. 이번 사태는 국내 금융 보안 관리 체계의 근본적인 허점을 보여준 사례로, 금융당국과 업계의 대대적인 보안 강화 조치가 불가피하다는 평가가 나온다.

이러한 가운데 SGI서울보증보험이 신입직원 채용에 나섰다. 하지만 보안 경력직이 아닌 신입직원을 뽑는 것에 문제란 지적과 SGI서울보증보험이 경력직을 뽑기란 쉽지 않단 분석이다. 보수적인 SGI서울보증보험의 내부 분위기상 경력은 쉽지 않다며, 거버넌스 체계 갖추고 직원들 수준 높이는 게 필요하다는 것이다.

익명의 CISO는 "SGI서울보증보험의 사례는 금융 IT 인프라에서 기본 보안 통제가 무력화될 경우 발생할 수 있는 시스템 리스크를 여실히 보여준다"며 "백업 분리 보관, 계정 권한 분산, 비밀번호 관리와 같은 보안 조치가 미흡했던 점은 구조적 취약성을 노출한 것"이라고 지적했다.

이어 "이번 채용에서 정보보호 역량을 강조한 것은 필수 대응이나, 단순한 인력 보강을 넘어 전사적 보안 거버넌스 재편과 위협 인텔리전스 기반의 상시 모니터링 체계 구축이 병행돼야 금융시스템 신뢰성을 회복할 수 있다"고 강조했다.